CSIRT Toscana WordPress: rilevato sfruttamento della CVE-2026-0740 nel plugin Ninja Forms (AL04/260413/CSIRT-ITA)
Data:
13 Aprile 2026
Impatto Sistemico
Critico (79.23)
Sintesi
Rilevato lo sfruttamento attivo della CVE-2026-0740, con gravità “critica”, che interessa l’add-on File Uploads per il plugin WordPress Ninja Forms.
Tipologia
Remote Code Execution
Descrizione e potenziali impatti
Ricercatori di sicurezza hanno recentemente rilevato lo sfruttamento attivo della CVE-2026-0740, con gravità “critica”, che interessa l’add-on File Uploads per il plugin WordPress Ninja Forms.
Nel dettaglio la vulnerabilità, di tipo “Unrestricted File Upload” e con score CVSS v3.x pari a 9.8, è dovuta alla mancata validazione del tipo di file da parte della funzione NF_FU_AJAX_Controllers_Uploads::handle_upload . Tramite il caricamento di file opportunamente predisposti, tale vulnerabilità potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario sui sistemi interessati.
Prodotti e versioni affette
Ninja Forms – File Uploads, versioni precedenti alla 3.3.27
Azioni di mitigazione
Ove non provveduto, si raccomanda di aggiornare tempestivamente le release vulnerabili all’ultima versione stabile disponibile.
Riferimenti
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ninja-forms-uploads/ninja-forms-file-upload-3326-unauthenticated-arbitrary-file-upload
- https://ninjaforms.com/extensions/file-uploads/
CVE
| CVE-ID |
|---|
| CVE-2026-0740 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 13-04-2026 | 13/04/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
13 Aprile 2026, 14:34